Baixe uma cópia de nosso estudo: O aumento contínuo dos ataques DDoS.
Ataques distribuídos de negação de serviço (DDoS) não são um conceito novo, mas se mostraram eficazes. Nos últimos anos, apresentaram aumento em intensidade e número, enquanto a duração de um ataque muitas vezes caiu para apenas algumas horas. Estes ataques podem ser simples, mas podem ser devastadores para as empresas-alvo.
No momento, por exemplo, ataques de amplificação, são bastante populares, já que permitem que botnets relativamente pequenos derrubem alvos grandes. Para ofensivas assim, o tráfego falso é enviado para um serviço de terceiros, que refletirá as respostas ao tráfego falso. Para amplificar o tráfego de resposta, é escolhida uma pesquisa inteligente que leva a uma enorme resposta do serviço. Por exemplo, pode ser a solicitação de todos os registros de um servidor DNS ou usar o comando monlist para servidores NTP.
Há, ainda, alguns protocolos que podem ser usados para obter este efeito, às vezes com um efeito de amplificação de até 500.
Figura 1. Esquema de ataque de amplificação DDoS
De janeiro a agosto de 2014, a Symantec observou um aumento de 183% em ataques de amplificação de DNS, tornando-o o método mais popular observado pela Rede de Inteligência Global Symantec. Ataques de amplificação de DDoS usando NTP tiveram destaque no primeiro trimestre, mas desde então vêm diminuindo gradualmente. Isso pode acontecer porque várias pessoas estão atualizando e reconfigurando seus servidores.
Os cibercriminosos também estão fazendo experiências com outros protocolos, como o Protocolo de Gerenciamento de Rede Simples (SNMPv2) ou, como vimos em setembro, o Protocolo de Descoberta Simples de Serviços (SSDP). Muitas vezes, eles usam múltiplos métodos para tornar a mitigação mais difícil. Além disso, serviços de ataque DDoS podem ser contratados por menos de US$10 nos fóruns clandestinos, o que piora o cenário de ofensivas.
Figura 2. Lista de preços de DDoS
Outra tendência vista em 2014 é o aumento dos servidores Unix comprometidos e sua ampla largura de banda sendo utilizada em ataques DDoS. PHP.Brobot e Backdoor.Piltabe são dois exemplos de ameaças assim, mas a tendência voltou ao centro das atenções quando a vulnerabilidade ShellShock Bash foi explorada em questão de horas após a descoberta do bug, permitindo aos atacantes instalar scripts DDoS em uma variedade de servidores. Vários scripts DDoS e arquivos ELF maliciosos foram baixados através da vulnerabilidade Bash, criando um botnet DDoS potente.
Como será o futuro
A previsão para o futuro parece negra, já que esperamos ver muitos ataques DDoS durante o Guy Fawkes Day no dia 5 de novembro. Nessa data, o coletivo Anonymous já anunciou várias atividades da campanha Operation Remember.
Porém, hacktivistas que protestam em nome de suas crenças ideológicas não são os únicos que utilizam ataques DDoS. Também vimos casos de extorsão, nos quais os alvos foram chantageados financeiramente, além de alguns ataques dirigidos usando DDoS como uma distração, para desviar a atenção da equipe CERT local enquanto executavam o ataque real.
Mitigação
Não é fácil mitigar o impacto de um ataque DDoS, mas há algumas boas práticas que podem ajudar a reduzir os danos.
· Dispor de um plano de resposta a incidentes pronto e saber a quem consultar rapidamente
· Verificar a configuração e proteger o servidor
· Utilizar uma abordagem de filtros em camadas e formar parcerias com provedores externos
· Incluir escalabilidade e flexibilidade em seu ambiente
· Conhecer o comportamento normal da sua rede
Para maiores detalhes sobre o aumento contínuo dos ataques DDoS, leiam nosso whitepaper.
O infográfico a seguir ilustra alguns dos pontos-chave dos ataques DDoS.
